firewalld

最新推荐文章于 2022-10-19 18:26:19 发布
最新推荐文章于 2022-10-19 18:26:19 发布
阅读量240 收藏 1
点赞数
分类专栏: linux-III
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wcczb/article/details/72861170
版权

firewalld

 在做这个实验之前,要保证虚拟机有双网卡,设置双ip。
[root@server80 ~]# systemctl status firewalld                                    ##查看防火墙状态
[root@server80 ~]# systemctl stop iptables                                        ##关闭iptables
[root@server80 ~]# systemctl mask iptables.service
[root@erver80 ~]# systemctl start firewalld                                         ##开启防火墙
[root@server80 ~]# systemctl enable firewalld                                   ##设置防火墙开机自动开启



[root@server80 ~]# firewall-config                                                        ##开启防火墙的图形控制页面


1.使用命令行接口配置防火墙
[root@server80 ~]# firewall-cmd --state                                                ##查看firewalld的状态
[root@server80 ~]# firewall-cmd --get-active-zones                            ##查看当前活动的区域,并附带一个目前分配给它们的接口列表

[root@server80 ~]# firewall-cmd --get-zones                                         ##查看所有可用区域 


                          

[root@server80 ~]# firewall-cmd --zone=public --list-all                       ##列出指定域的所有设置



[root@server80 ~]# firewall-cmd --get-services                                    ##列出所有预设服务
[root@server80 ~]# firewall-cmd --set-default-zone=trusted               ##设置默认区域
success
[root@server80 ~]# firewall-cmd --get-default-zone                             ##查看所有可用区域    

trusted



[root@server80 ~]# firewall-cmd --set-default-zone=public                 ##设置默认区域为public               
success
[root@server80 ~]# firewall-cmd --permanent --add-source=172.25.254.80                      ##设置网络地址          
success
[root@server80 ~]# firewall-cmd --reload                                                  
success
[root@server80 ~]# firewall-cmd --list-all
public (default, active)
  interfaces: eth0 eth1
  sources: 172.25.254.250
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:


   

[root@server80 ~]# firewall-cmd --permanent --remove-source=172.25.254.250
success
[root@server80 ~]# firewall-cmd --permanent --zone=trusted --add-source=172.25.254.80  ##设置网络地址到指定的区域

success

[root@server80 ~]# firewall-cmd --reload
success
[root@server80 ~]# firewall-cmd --permanent --zone=public --remove-source=172.25.254.250  ##删除指定区域中的网路地址
success
[root@server80 ~]# firewall-cmd --reload                                                                ##重载防火墙

success



[root@server80 ~]# firewall-cmd --list-all                                                                 ##列出所有设置
public (default, active)
  interfaces: eth0 eth1
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:
    
[root@server80 ~]# firewall-cmd --remove-interface=eth0 --zone=public   ##删除网络接口
success
[root@server80 ~]# firewall-cmd --list-all                                                         ##列出所有设置
public (default, active)
  interfaces: eth1
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

  

 

[root@server80 ~]# firewall-cmd --add-interface=eth0 --zone=trusted                ##将eth0添加到trusted区中
success
[root@server80 ~]# firewall-cmd --reload                                                               ##重载防火墙

success



测试:
[root@server80 ~]# yum install httpd -y                                                                  ##安装httpd服务
[root@server80 ~]# systemctl start httpd                                                                ##开启服务
浏览器172.25.80.11可以访问,172.25.254.208不能

firewall-cmd --permanent --zone=public --add-service=smtp                               ##添加服务
firewall-cmd --permanent --zone=public --remove-service=smtp                        ##删除服务

[root@server80 ~]# firewall-cmd --list-ports                                                            ##列出端口
[root@server80 ~]# firewall-cmd --add-port=53/tcp                                                 ##添加端口
success
[root@server80 ~]# firewall-cmd --list-ports
53/tcp
[root@server80 ~]# firewall-cmd --list-all
public (default, active)
  interfaces: eth1
  sources:
  services: dhcpv6-client ssh
  ports: 53/tcp
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:
    
[root@server80 ~]# firewall-cmd --remove-service=ssh                                            ##移除ssh
success
[root@server80 ~]# firewall-cmd --list-all
public (default, active)
  interfaces: eth1
  sources:
  services: dhcpv6-client
  ports: 53/tcp
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:
    
[root@server80 ~]# firewall-cmd --permanent --remove-service=ssh           ##将ssh服务永久移除
success
[root@server80 ~]# firewall-cmd --reload                                                          ##重载防火墙
[root@server80 ~]# firewall-cmd --complete-reload                                        ##完全重载防火墙,立即中断连接
success

2.Direct Rules

通过 firewall-cmd 工具,可以使用 --direct 选项在运行时间里增加或者移除链。

source
指定源地址,可以是一个ipv4/ipv6的地址或网段,不支持使用主机名。
destination
指定目的地址,用法和source相同。
service
服务名称是 f irewalld 提供的其中一种服务。要获得被支持的服务的列表,输入以下命令:
firewall-cmd --get-services 。

命令为以下形式:
service name= service_name
port
端口既可以是一个独立端口数字,又或者端口范围,例如,5060-5062。协议可以指定为 tcp 或udp 。

命令为以下形式:
port port= number_or_range protocol= protocol
protocol
协议值可以是一个协议 ID 数字,或者一个协议名。预知可用协议,请查阅 /etc/protocols。
命令为以下形式:
protocol value= protocol_name_or_ID


cmp-block
用这个命令阻绝一个或多个ICMP类型。IC MP 类型是 firewalld支持的ICMP类型之一。
要获得被支持的ICMP类型列表,输入以下命令: firewall-cmd --get-icmptypesicmp-block在内部使用 reject 动作,因此不允许指定动作。

命令为以下形式:
icmp-block name= icmptype_name
masquerade
打开规则里的 IP 伪装。用源地址而不是目的地址来把伪装限制在这个区域内。不允许指定动作。
forward-port
从一个带有指定为 tcp 或 udp 协议的本地端口转发数据包到另一个本地端口,或另一台机器,或另一台机器上的另一个端口。port 和 to-port 可以是一个单独的端口数字,或一个端口范围。而目的地址是一个简单的 IP 地址。不允许指定动作,命令使用内部动作accept 。

命令为以下形式:
forward-port port= number_or_range protocol= protocol /
to-port= number_or_range to-addr= address


[root@server80 ~]# firewall-cmd --direct --add-rule ipv4 filter INPUT 0 ! -s 172.25.254.250 -p tcp --dport 22 -j ACCEPT  ##添加规则,除250主机不能访问22端口其余都可以
success
[root@server80 ~]# firewall-cmd --direct --get-all-rules                                             ##列出规则
ipv4 filter INPUT 0 '!' -s 172.25.254.250 -p tcp --dport 22 -j ACCEPT


3.伪装和端口转发

1)端口转发
[root@server80 ~]# systemctl restart firewalld                                            ##重启防火墙
[root@server80 ~]# firewall-cmd --list-all
public (default, active)
  interfaces: eth0 eth1
  sources:
  services: dhcpv6-client
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:
    
[root@server80 ~]# firewall-cmd --zone=public --add-forward-                      port=port=22:proto=tcp:toport=22:toaddr=172.25.254.80                                       ##端口转发
success
[root@server80 ~]# firewall-cmd --add-service=ssh                                                ##添加ssh服务
success
[root@server80 ~]# firewall-cmd --add-masquerade                                                ##开启伪装
success
[root@server80 ~]# firewall-cmd --list-all
public (default, active)
  interfaces: eth0 eth1
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: yes
  forward-ports: port=22:proto=tcp:toport=22:toaddr=172.25.254.1
  icmp-blocks:
  rich rules:
测试:
真机ssh root@172.25.254.208
[root@foundation80 Desktop]# ssh root@172.25.254.208
root@172.25.254.208's password:
Last failed login: Sat Jun  3 11:48:23 CST 2017 from 172.25.254.208 on ssh:notty
There were 2 failed login attempts since the last successful login.
Last login: Sat Jun  3 11:47:29 2017 from foundation144.ilt.example.com
[root@foundation80 ~]#

2)伪装
[root@server80 ~]# systemctl restart firewalld
[root@server80 ~]# firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=172.25.254.208 masquerade'                                                      ##伪装
success
[root@server80 ~]# firewall-cmd --add-service=ssh
success
[root@server80 ~]# firewall-cmd --add-masquerade
success
[root@server80 ~]# firewall-cmd --list-all
public (default, active)
  interfaces: eth0 eth1
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: yes
  forward-ports:
  icmp-blocks:
  rich rules:
    rule family="ipv4" source address="172.25.254.208" masquerade
测试:
用desktop
设置其ip为172.25.80.10
gateway为172.25.80.11
ping172.25.254.208和172.25.80.11
[root@localhost ~]# ssh root@172.25.80.11
root@172.25.80.11's password:
Last login: Sat Jun  3 01:25:53 2017 from 172.25.80.10
[root@server80 ~]# ssh root@172.25.254.80
root@172.25.254.80's password:
Last login: Sat Jun  3 13:36:52 2017 from 172.25.254.208
[root@foundation80 ~]# w
 13:38:46 up  4:41, 10 users,  load average: 0.52, 0.26, 0.23
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
kiosk    :0       :0               08:57   ?xdm?  33:29   0.46s gdm-sessio
kiosk    pts/0    :0               08:58    9:50  14.41s  0.05s ssh -X roo
kiosk    pts/1    :0               08:58   22.00s 29.21s  0.01s ssh -X roo
kiosk    pts/2    :0               08:58   10:06   0.07s  1:06  /usr/libex
root     pts/10   172.25.254.208   13:38    1.00s  0.04s  0.00s w                       ##用80网段登陆伪装成了254网段
文安海
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux firewalld开启端口
12-23
CentOS升级到7之后,无法使用iptables控制Linuxs的端口,查找资料后发现Centos 7用firewalld代替了原来的iptables。
firewalld防火墙
gcc001224的博客
05-13 9406
文章目录 Firewalld
firewalld 命令大全
qq_14932665的博客
09-10 857
1、firewalld的基本使用 启动:systemctl start firewalld 查看状态:systemctl status firewalld 停止:systemctl disable firewalld 禁用:systemctl stop firewalld 2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkc...
firewalld服务讲解
Liang_GaRy的博客
10-19 1267
Linxu-firewalld服务讲解
firewalld防火墙总结
weixin_45190065的博客
09-06 3219
最全firewalld总结
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
firewalld 详细 手册 pdf 8章
04-03
firewalld 详细 手册 pdf 8章 firewalld 详细 手册 pdf 8章
Firewalld http api管理接口
09-17
基于centos firewalld dbus接口管理http api firewalld规则 支持mac ipv4 ipv6 规则自动过期 使用说明见文档
Linux下双网卡Firewalld的配置流程(推荐)
09-15
firewalld提供了一个 动态管理的防火墙,用以支持不同网络区域的规则,分配对一个网络及其相关链接和界面一定程度的信任。这篇文章给大家介绍了Linux下双网卡Firewalld的配置流程,需要的朋友参考下吧
firewalld防火墙实操
09-19
firewalld防火墙实际操作,介绍一些常用的firewalld设置规则。
iptables及firewalld加固服务器安全思维导图
05-05
iptables及firewalld加固服务器安全思维导图
firewalld-0.9.3-7.el8.noarch(1).rpm
12-08
离线安装包,亲测可用
详述Linux中Firewalld高级配置的使用
09-14
主要介绍了详述Linux中Firewalld高级配置的使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
firewalld-filesystem-0.5.3-5.el7.noarch.rpm
11-30
离线安装包,亲测可用
Centos7的Firewalld防火墙基础命令详解
09-14
主要介绍了Centos7的Firewalld防火墙基础命令详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Centos7 firewalld 端口管理
11-22
Centos7 firewalld 端口管理,快速放行、删除端口; 将此文件放入/usr/bin目录下,权限777; #myport add * #myport remove * *代表端口号,也可以设置端口区间
防火墙白名单设置方法_firewalld_centos7.pdf
10-31
为firewall设置访问白名单,仅允许合法的ip访问特定端口,如下以9089端口以及5672端口为例
Centos 7之Firewalld相关命令详细介绍
09-15
主要介绍了Centos 7之Firewalld相关命令详细介绍的相关资料,需要的朋友可以参考下
firewalld
最新发布
09-06
Firewalld是一个动态防火墙管理工具,在Linux系统中被广泛使用。它通过定义和管理网络链接的安全级别和防火墙区域来提供强大的网络安全功能。 Firewalld与iptables之间有一定的关系。Iptables是一个底层的防火墙工具...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值